#### (19)日本国特許庁 (JP)

### (12) 公開特許公報(A)

(11)特許出願公開番号 特開2002-23999 (P2002-23999A)

(43)公開日 平成14年1月25日(2002.1.25)

| (51) Int.Cl.7 |      | 識別記号 | F I     |      | テーマコード(参考) |  |
|---------------|------|------|---------|------|------------|--|
| G06F          | •    |      | G 0 6 F | •    | A 5J104    |  |
|               | 7/72 |      |         | 7/72 |            |  |
| G09C          | 1/00 | 650  | G 0 9 C | 1/00 | 6 5 0 A    |  |

審査請求 有 請求項の数33 OL (全 22 頁)

(21)出願番号 特願2000-185582(P2000-185582)

(22)出願日 平成12年6月21日(2000.6.21)

(71) 出願人 390009531

インターナショナル・ビジネス・マシーンズ・コーポレーション INTERNATIONAL BUSIN ESS MASCHINES CORPO RATION アメリカ合衆国10504、ニューヨーク州

アーモンク(番地なし)

(74) 復代理人 100110607

弁理士 間山 進也 (外3名)

最終頁に続く

# (54) 【発明の名称】 乗算モジュール、乗法逆元演算回路、乗法逆元演算制御方式、該乗法逆元演算を用いる装置、暗号装置、誤り訂正復号器

(57) 【要約】

(修正有)

【課題】 ガロア体GF(2m) (m≥1) 上のmビットデータを乗算するための乗算モジュールを提供する。

【解決手段】 第1の入力部からの第1のmビットデータが入力される第1および第2のべき乗演算手段U1,U2と、第1のmビットデータおよび第1のべき乗演算手段U3と、第2の入力が入力される第1の乗算手段U3と、第2の不き乗演算手段U2からの出力が入力される第2の乗算手段U4と、第2の乗算手段の出力信号および第2のmビットデータが入力される選択手段U5と、第1のべき乗演算手段には第1の制御信号S1が入力され、第2のべき乗乗算手段には第2の制御信号S2が入力され、選択手段には該選択手段の出力を制御するための第3の制御信号S0が入力され、前記第1の乗算手段が第1の出力信号を出力し、前記選択手段が第2の出力信号を出力する。

### 基本演算モジュール



図4 回路の構成に用いる乗算デバイス

### 【特許請求の範囲】

【請求項1】 ガロア体GF(2m) ( $m \ge 1$ ) 上の $m \lor v \mapsto r$  一夕を乗算するための第1の入力部と第2の入力部とを含む乗算モジュールであって、

前記第1の入力部からの第1のmビットデータが入力される第1および第2のべき乗演算手段と、

前記第1のmビットデータおよび前記第1のべき乗演算 手段からの出力が入力される第1の乗算手段と、

前記第2の入力部からの第2のmビットデータおよび前記第2のべき乗演算手段からの出力が入力される第2の 10乗算手段と、

前記第2の乗算手段の出力信号および前記第2のmビットデータが入力される選択手段と、

前記第1のべき乗演算手段と、前記第2のべき乗演算手段と、前記選択手段とにそれぞれ制御信号を出力する制御手段とを含んで構成され、

前記第1のべき乗演算手段には第1の制御信号が入力され、前記第2のべき乗乗算手段には第2の制御信号が入力され、前記選択手段には該選択手段の出力を制御するための第3の制御信号が入力され、前記第1の乗算手段20が第1の出力信号を出力し、前記選択手段が第2の出力信号を出力する、乗算モジュール。

【請求項2】 請求項1の乗算モジュールと、

第1の初期値が設定でき前記乗算モジュールの第1の出力信号が入力される、第1のレジスタ手段と、

第2の初期値が設定でき前記乗算モジュールの第2の出力信号が入力される、第2のレジスタ手段とを含み、前記第1のレジスタ手段の出力が前記乗算モジュールの

第1の入力部に接続され、前記第2のレジスタ手段の出力が前記乗算モジュールの第2の入力部に接続されてお 30 り、

前記第2のレジスタ手段が、前記第1、第2、第3の制御信号に応じて前記第1の初期値の乗法逆元を与える、 乗法逆元演算回路。

【請求項3】 前記第1の初期値と前記第2の初期値とをレジスタ手段へ入力し、前記制御手段は、サイクル数が所定の数k(kは、自然数)となった場合に第1のべき乗演算手段にr=2k-1、s=2rとしてs乗を計算させる第1の制御信号と、第2のべき乗演算手段に $r=\{(m-1)\ mod(2k-1)\}+1$ 、s=2rとしてs乗を計算させる第2の制御信号とを入力し、前記乗算モジュールの選択手段には、(m-1) の2進表現でのビットk-1が1の場合には前記第2のレジスタ手段の入力に前記第2の乗算手段の出力を入力し、(m-1) の2進表現でのビットk-1が1でない場合には前記第2のレジスタ手段の入力に前記第2のレジスタ手段の出力を与える第3の制御信号を入力する、請求項2に記載の乗法逆元演算回路。

【請求項4】 請求項1の乗算モジュール2個と、第1 制御信号群と、第2の制御信号の初期値が設定できる第1のレジスタ手段と、第2の初 50 とを与える制御手段とを含み、

2

期値が設定できる第2のレジスタ手段とを含み、前記乗算モジュールのそれぞれ第1の出力を他の前記第1の入力部に接続し、前記乗算モジュールのそれぞれ第2の出力を他の前記第2の入力部に接続し、

前記乗算モジュール群の結合によって得られた回路に対し、前記乗算モジュールの第1の入力部に前記第1のレジスタ手段の出力が接続され、前記乗算モジュールの第2の入力部に前記第2のレジスタ手段の出力が接続され、前記乗算モジュールの第1の出力部に前記第1のレジスタ手段の入力が接続され、前記乗算モジュールの第2の出力部に前記第2のレジスタ手段の入力が接続された乗法逆元演算回路。

【請求項5】 3個以上の請求項1の乗算モジュールと、第1の初期値が設定できる第1のレジスタ手段と、第2の初期値が設定できる第2のレジスタ手段とを含み、前記乗算モジュールのそれぞれ第1の出力を他の前記第1の入力部に接続し、前記乗算モジュールのそれぞれ第2の出力を他の前記第2の入力部に接続し、

前記乗算モジュール群の結合によって得られた回路に対し、前記乗算モジュールの第1の入力部に前記第1のレジスタ手段の出力が接続され、前記乗算モジュールの第2の入力部に前記第2のレジスタ手段の出力が接続され、前記乗算モジュールの第2の出力部に前記第2のレジスタ手段の入力が接続され、前記乗算モジュールの第2の出力部に前記第2のレジスタ手段の入力が接続された乗法逆元演算回路。

【請求項6】 前記乗算モジュールの数n(nは、自然数)は、[log2(m-1)+1]以下とされる、請求項4または5に記載の乗法逆元演算回路。

【請求項7】 制御手段により、i段目(n≥i≥1) の乗算モジュールに対して、サイクル数が所定の数q (qは自然数)となった場合に、 $p = \{n (q-1) + \}$ i } として、第1のべき乗演算手段に r = 2 p-1、s = 2 r として s 乗を計算させる第1の制御信号と、第2の べき乗演算手段に  $r = \{(m-1) \mod (2p-1)\}$ +1、s=2rとしてs乗を計算させる第2の制御信号 とを入力し、前記 i 段目の乗算モジュールの選択手段に は、(m-1) の2進表現でのビットp-1が1の場合 には前記 i 段目の乗算モジュールの第2の出力に前記第 2の乗算手段の出力を与え、(m-1)の2進表現での ビットp-1が1でない場合には前記i段目のモジュー ルの第2の出力に、前記 i 段目の乗算モジュールへの第 2の入力部からのmビットデータを与える第3の制御信 号を入力する、請求項4、5または6に記載の乗法逆元 演算回路。

【請求項8】 [log₂ (m−l) +l] 個の請求項1の乗算モジュールと、

それぞれの前記乗算モジュールを制御するための第1の 制御信号群と、第2の制御信号群と、第3の制御信号群 とを与える制御手段とを含み 前記乗算モジュールのそれぞれ第1の出力が次の前記乗 算モジュールの第1の入力部に接続され、前記乗算モジュールのそれぞれ第2の出力が次の前記乗算モジュール の前記第2の入力部に接続されており、

前記制御手段は、所定段目k(kは、自然数)の乗算モジュールに対して、r=2 k-1、s=2 r としてs 乗を計算させる第1の制御信号を第1のべき乗演算手段に与え、 $r=\{(m-1)\ mod\ (2$  k-1) $\}+1$ 、s=2 r としてs 乗を計算させる第2の制御信号を第2のべき乗演算手段に与え、m-1の2進表現におけるビットk 10 -1 が1の場合に選択手段の出力として第2の乗算手段の出力を与え、m-1の2進表現におけるビットk-1 が1ではない場合には選択手段の出力として第2の入力部から入力されるmビットデータを与える、乗法逆元演算回路。

【請求項9】 前記乗算モジュールに接続される対となったレジスタ手段を含む、請求項8に記載の乗法逆元演算回路。

【請求項10】 ガロア体GF(2m) ( $m \ge 1$ ) 上の $m \lor v$ ト データを乗算するための第1の入力部と第2の入力部と 20を含む乗算モジュールの制御方式であって、

第1および第2のべき乗演算手段に前記第1の入力部からの第1のmビットデータを入力する段階と、

第1の乗算手段に前記第1のmビットデータおよび前記 第1のべき乗演算手段からの出力を入力する段階と、

第2の乗算手段に前記第2の入力部からの第2のmビットデータおよび前記第2のべき乗演算手段からの出力を 入力する段階と、

選択手段に前記第2の乗算手段の出力信号および前記第2のmビットデータを入力する段階と、

制御回路から前記第1の乗算手段と、前記第2の乗算手段と、前記選択手段とにそれぞれ制御信号を出力する段階とを含み、

前記第1のべき乗演算手段に第1の制御信号を入力し、 前記第2のべき乗演算手段に第2の制御信号を入力し、 前記選択手段に該選択手段の出力を制御するための第3 の制御信号を入力し、前記第1の乗算手段に第1の出力 信号を出力させ、前記選択手段に第2の出力信号を出力 させる、乗算モジュールの制御方式。

【請求項11】 請求項1の乗算モジュールを与える段 40 階と、

第1の初期値が設定でき前記乗算モジュールの第1の出力信号が入力される、第1のレジスタ手段を与える段階と、

第2の初期値が設定でき前記乗算モジュールの第2の出力信号が入力される、第2のレジスタ手段を与える段階とを含み、前記第1のレジスタ手段の出力が前記乗算モジュールの第1の入力部に接続され、前記第2のレジスタ手段の出力が前記乗算モジュールの第2の入力部に接続されており、

4

さらに、前記第2のレジスタ手段が、前記第1、第2、

第3の制御信号に応じて前記第1の初期値の乗法逆元を与える段階とを含む、乗法逆元演算回路の制御方式。 【請求項12】 前記第1の初期値と前記第2の初期値とを入力する段階と、サイクル数が所定の数k(kは、自然数)となった場合に第1のべき乗演算手段にr=2k-1、s=2rとしてs乗を計算させる第1の制御信号と、第2のべき乗演算手段に $r=\{(m-1)$  mod (2k-1) $\}+1$ 、s=2rとしてs乗を計算させる第2の制御信号とを入力し、前記乗算モジュールの選択手段には、(m-1)の2進表現でのビットk-1が1の場合には前記第2のレジスタ手段の入力に前記第2のレジスタ手段の入力に前記第2のレジスタ手段の入力に前記第2のレジスタ手段の入力に前記第2のレジスタ手段の入力に前記第2のレジスタ手段の入力に前記第2のレジスタ手段の入力に前記第2のレジスタ手段の入力に前記第2のレジスタ手段の出力を入力するための

【請求項13】 請求項1の乗算モジュール2個と、第1の初期値が設定できる第1のレジスタ手段と、第2の初期値が設定できる第2のレジスタ手段とを含み、前記乗算モジュールのそれぞれ第1の出力を他の前記第1の入力部に接続し、前記乗算モジュールのそれぞれ第2の出力を他の前記第2の入力部に接続した乗法逆元演算回路の制御方式であって、前記乗算モジュールの第1の出力部に前記第1のレジスタ手段の入力が接続され、前記乗算モジュールの第2の出力部に前記第2のレジスタ手段の入力が接続され、

第3の制御信号を入力する段階を含む、請求項11に記

載の乗法逆元演算回路の制御方式。

前記乗算モジュール群の結合によって得られた回路に対し、前記乗算モジュールの第1の入力部に前記第1のレジスタ手段の出力を接続する段階と、前記乗算モジュールの第2の入力部に前記第2のレジスタ手段の出力を接続する段階と、を含む、乗法逆元演算回路の制御方式。

【請求項14】 3個以上の請求項1の乗算モジュール2個と、第1の初期値が設定できる第1のレジスタ手段と、第2の初期値が設定できる第2のレジスタ手段とを含み、前記乗算モジュールのそれぞれ第1の出力を他の前記第1の入力部に接続し、前記乗算モジュールのそれぞれ第2の出力を他の前記第2の入力部に接続した乗法逆元演算回路の制御方式であって、前記乗算モジュールの第1の出力部に前記第1のレジスタ手段の入力が接続され、前記乗算モジュールの第2の出力部に前記第2のレジスタ手段の入力が接続され、

前記乗算モジュール群の結合によって得られた回路に対し、前記乗算モジュールの第1の入力部に前記第1のレジスタ手段の出力を接続する段階と、前記乗算モジュールの第2の入力部に前記第2のレジスタ手段の出力を接続する段階とを含む、乗法逆元演算回路の制御方式。

【請求項15】 前記乗算モジュールの数n(nは、自然数)は、 $[log_2(m-1)+1]$ 以下とされる、請求項13または14に記載の乗法逆元演算回路の制御方式。

【請求項16】 i段目(n≧i≧1)の乗算モジュー ルに対して、サイクル数が所定の数q(qは自然数)と なった場合に、 $p = \{n (q-1) + i\}$  として、第1 のべき乗演算手段にr = 2p-1、s = 2rとしてs乗を 計算させる第1の制御信号と、第2のべき乗演算手段に  $r = \{ (m-1) \mod (2p-1) \} + 1, s = 2r \ge$ してs乗を計算させる第2の制御信号とを入力し、前記 乗算モジュールの選択手段には、(m-1)の2進表現 でのビットp-1が1の場合には前記i段目の乗算モジ ュールの第2の出力に前記第2の乗算手段の出力を与 え、(m-1) の2進表現でのビットp-1が1でない 場合には前記i段目の乗算モジュールの第2の出力に、 前記i段目の乗算モジュールの第2の入力部からのmビ ットデータを与える第3の制御信号を入力する、請求項 13、14または16に記載の乗法逆元演算回路の制御 方式。

【請求項17】 [log2(m-1)+1]個の請求項1の乗算モジュールを与える段階と、

それぞれの前記乗算モジュールを制御するための第1の制御信号群と、第2の制御信号群と、第3の制御信号群 20 とを与える段階とを含み、前記乗算モジュールのそれぞれ前記第1の出力が次の前記第1の入力部に接続され、前記乗算モジュールのそれぞれ前記第2の出力が次の前記第2の入力部に接続されており、

所定段目 k (k は、自然数) の乗算モジュールに対して、r=2 k-l、s=2 r として s 乗を計算させる第 1 の制御信号を第 1 のべき乗演算手段に与え、 $r=\{(m-1)$  m od (2 k-l)  $\}$  +1、s=2 r として s 乗を計算させる第 2 の制御信号を第 2 のべき乗演算手段に与え、m-1 の 2 進表現におけるビット k-1 が 1 の場合 30 に選択手段の出力として第 2 の乗算手段の出力を与え、m-1 の 2 進表現におけるビット k-1 が 1 ではない場合には選択手段の出力として第 2 の入力部から入力されるmビットデータを与える段階を含む、乗法逆元演算回路の制御方式。

【請求項18】 前記乗算モジュールからの出力を対となったレジスタ手段に入力する段階を含む、請求項12、13、または14に記載の乗法逆元演算回路。

【請求項19】 ガロア体GF(2m) (m≥1) 上のmビットデータを乗算するための第1の入力部と第2の入力部と 40を含む乗算モジュールを用いる装置であって、該乗算モジュールは、

前記第1の入力部からの第1のmビットデータが入力される第1および第2のべき乗演算手段と、

前記第1のmビットデータおよび前記第1のべき乗演算 手段からの出力が入力される第1の乗算手段と、

前記第2の入力部からの第2のmビットデータおよび前記第2のべき乗演算手段からの出力が入力される第2の乗算手段と、

前記第2の乗算手段の出力信号および前記第2のmビッ 50

6

トデータが入力される選択手段と、

前記第1のべき乗演算手段と、前記第2のべき乗演算手段と、前記選択手段とにそれぞれ制御信号を出力する制御回路とを含んで構成され、

前記第1のべき乗演算手段には第1の制御信号が入力され、前記第2のべき乗乗算手段には第2の制御信号が入力され、前記選択手段には該選択手段の出力を制御するための第3の制御信号が入力され、前記第1の乗算手段が第1の出力信号を出力し、前記選択手段が第2の出力信号を出力する装置。

【請求項20】 請求項1の乗算モジュールと、

第1の初期値が設定でき前記乗算モジュールの第1の出力信号が入力される、第1のレジスタ手段と、

第2の初期値が設定でき前記乗算モジュールの第2の出力信号が入力される、第2のレジスタ手段とを含み、

前記第1のレジスタ手段の出力が前記乗算モジュールの第1の入力部に接続され、前記第2のレジスタ手段の出力が前記乗算モジュールの第2の入力部に接続されてお

前記第2のレジスタ手段が、前記第1、第2、第3の制御信号に応じて前記第1の初期値の乗法逆元を与える、 乗法逆元演算回路を含む装置。

【請求項21】 前記第1の初期値と前記第2の初期値とを入力し、サイクル数が所定の数k (kは、自然数)となった場合に第1のべき乗演算手段にr=2k-l、s=2rとしてs乗を計算させる第1の制御信号と、第2のべき乗演算手段に $r=\{(m-1)$  mod

 $(2^{k-1})$   $\}$  +1 、s=2 r として s 乗を計算させる第 2 の制御信号とを入力し、前記乗算モジュールの選択手段には、 (m-1) の 2 進表現でのビット k-1 が 1 の 4 争には前記第 2 のレジスタ手段の入力に前記第 2 の乗算手段の出力を入力し、 (m-1) の 2 進表現でのビット k-1 が 1 でない場合には前記第 2 のレジスタ手段の入力に前記第 2 のレジスタ手段の出力を入力するための第 3 の制御信号を入力する、乗法逆元演算回路を含む請求項 2 0 に記載の装置。

【請求項22】 請求項1の乗算モジュール2個と、第1の初期値が設定できる第1のレジスタ手段と、第2の初期値が設定できる第2のレジスタ手段とを含み、前記乗算モジュールのそれぞれ第1の出力を他の前記第1の入力部に接続し、前記乗算モジュールのそれぞれ第2の出力を他の前記第2の入力部に接続し、

前記乗算モジュール群の結合によって得られた回路に対し、その第1の入力部に前記第1のレジスタ手段の出力が接続され、前記乗算モジュールの第2の入力部に前記第2のレジスタ手段の出力が接続され、前記乗算モジュールの第1の出力部に前記第1のレジスタ手段の入力が接続され、前記乗算モジュールの第2の出力部に前記第2のレジスタ手段の入力が接続された乗法逆元演算回路を含む、装置。

【請求項23】 3個以上の請求項1の乗算モジュール と、第1の初期値が設定できる第1のレジスタ手段と、 第2の初期値が設定できる第2のレジスタ手段とを含 み、前記乗算モジュールのそれぞれ第1の出力を他の前 記第1の入力部に接続し、前記乗算モジュールのそれぞ れ第2の出力を他の前記第2の入力部に接続し、

前記乗算モジュール群の結合によって得られた回路に対 し、その第1の入力部に前記第1のレジスタ手段の出力 が接続され、前記乗算モジュールの第2の入力部に前記 第2のレジスタ手段の出力が接続され、前記乗算モジュ 10 ールの第1の出力部に前記第1のレジスタ手段の入力が 接続され、前記乗算モジュールの第2の出力部に前記第 2のレジスタ手段の入力が接続された乗法逆元演算回路 を含む、装置。

前記乗算モジュールの数n(nは、自 【請求項24】 然数) は、[log2 (m-1)+1]以下とされる乗法逆元演算回 路を含む請求項22または23に記載の装置。

【請求項25】 前記制御手段により、i段目(n≥i ≥1)の乗算モジュールに対して、サイクル数が所定の 数 q ( q は自然数) となった場合に、 p = { n ( q -1) + i } として、第1のべき乗演算手段に r = 2p-1、s=2rとしてs乗を計算させる第1の制御信 号と、第2のべき乗演算手段に r = { (m-1) mod (2p-1) } + 1、s = 2 r としてs 乗を計算する第2 の制御信号とを入力し、前記i番目の乗算モジュールの 選択手段には、(m-1) の2進表現でのビットp-1 が1の場合には前記 i 番目の乗算モジュールの第2の出 力に前記第2の乗算手段の出力を与え、(m-1)の2 進表現でのビットp-1が1でない場合には前記 i 番目 の乗算モジュールの第2の出力を、前記i段目の乗算モ 30 ジュールの第2の入力部からのmビットデータとする第 3の制御信号を入力する乗法逆元演算回路を含む、請求 項22、23または24に記載の装置。

【請求項26】 [log2(m-1)+1]個の請求項1の乗算モ ジュールと、

それぞれの前記乗算モジュールを制御するための第1の 制御信号群と、第2の制御信号群と、第3の制御信号群 とを与える制御手段とを含み、

前記乗算モジュールのそれぞれ第1の出力が他の前記乗 算モジュールの第1の入力部に接続され、前記乗算モジ 40 ュールのそれぞれ第2の出力が他の前記乗算モジュール の第2の入力部に接続されており、

前記制御手段は、所定段目k(kは、自然数)の乗算モ ジュールに対して、r = 2 k-1、s = 2 rとしてs乗を 計算させる第1の制御信号を第1のべき乗演算手段に与  $\bar{\lambda}$ ,  $r = \{ (m-1) \mod (2^{k-1}) \} + 1$ , s = 2rとしてs乗を計算させる第2の制御信号を第2のべき 乗演算手段に与え、m-1の2進表現におけるビットk - 1が1の場合に選択手段の出力として第2の乗算手段 の出力を与え、m-1の2進表現におけるピットk-1 50  $p=\{n(q-1)+i\}$  として、第1のべき乗演算手

が1ではない場合には選択手段の出力として前記第2の 入力部から入力されるmビットデータを与える乗法逆元 演算回路を含む装置。

【請求項27】 前記乗算モジュールに接続される対と なったレジスタ手段を含む、請求項22、23または2 4に記載の乗法逆元演算回路を含む装置。

【請求項28】 ガロア体GF(2m) (m≥1) 上のmビット データを乗算するため、第1の入力部からmビットデー タおよびべき乗演算手段からの出力を乗算手段に入力す る段階と、第2の入力部からのmビットデータおよび前 記べき乗演算手段からの出力を乗算手段に入力する段階 とを含む乗法逆元演算回路の制御方式であって、

 $p = \{n (q-1) + i\}$  として、第1のべき乗演算手 段にr = 2p-1、s = 2rとしてs乗を計算させる第1 の制御信号と、第2のべき乗演算手段に r = { (m-1) mod(2p-1) } +1、s=2rとしてs 乗を計 算する第2の制御信号とを入力する段階と、

m-1の2進表現におけるビットk-1 (kは、自然 数)が1の場合に選択手段の出力として第2の乗算手段 の出力を与え、m-1の2進表現におけるビットk-1が1ではない場合には選択手段の出力として前記第2の 入力部から入力されるmビットデータを与える段階とを 含む、乗法逆元演算回路の制御方式。

【請求項29】 ガロア体GF(2m) (m≥1) 上のmビット データを乗算するため、第1の入力部からmビットデー 夕およびべき乗演算手段からの出力を乗算手段に入力す る段階と、第2の入力部からのmビットデータおよび前 記べき乗演算手段からの出力を乗算手段に入力する段階 とを含む乗算方法を実行させるためのソースコードが記 録されたコンピュータ可読な記録媒体であって、該記録 媒体は、 $p = \{n (q-1) + i\}$  として、第1のべき 乗演算手段にr=2p-1、s=2rとしてs乗を計算さ せる第1の制御信号と、第2のべき乗演算手段に r =  $\{(m-1) \mod (2^{p-1})\} + 1, s = 2^r \ge 1$ s 乗を計算する第2の制御信号とを入力し、

m-1の2進表現におけるビットk-1(kは、自然 数) が1の場合に選択手段の出力として第2の乗算手段 の出力を与え、m-1の2進表現におけるビットk-1 が1ではない場合には選択手段の出力として前記第2の 入力部から入力されるmビットデータを与える、記録媒 体。

【請求項30】 ガロア体GF(2m) (m≥1) 上のmビット データを乗算するため、第1の入力部からmビットデー 夕およびべき乗演算手段からの出力を乗算手段に入力す る段階と、第2の入力部からのmビットデータおよび前 記べき乗演算手段からの出力を乗算手段に入力する段階 とを含む乗算方法を実行させるためのソースコードが記 録されたコンピュータ可読な伝送媒体であって、該伝送 媒体は、

段に $r=2^{p-1}$ 、s=2rとしてs乗を計算させる第1の制御信号と、第2のべき乗演算手段に $r=\{(m-1)$  mod  $(2^{p-1})$   $\}$  +1、s=2rとしてs乗を計算する第2の制御信号とを入力し、

m-1 の 2 進表現におけるビット k-1 ( k は、自然数) が 1 の場合に選択手段の出力として第 2 の乗算手段の出力を与え、m-1 の 2 進表現におけるビット k-1 が 1 ではない場合には選択手段の出力として前記第 2 の入力部から入力されるmビットデータを与える、伝送媒体。

【請求項31】 ガロア体GF(2m) (m≥1) 上のmビットデータを乗算するため、第1の入力部からのmビットデータおよびべき乗演算手段からの出力が入力される乗算手段と、第2の入力部からのmビットデータおよび前記べき乗演算手段からの出力が入力される乗算手段とを含む暗号装置であって、

 $p = \{n (q-1) + i\}$  として、第1のべき乗演算手段に $r = 2^{p-1}$ 、 $s = 2^{r}$ としてs 乗を計算させる第1の制御信号と、第2のべき乗演算手段に $r = \{(m-1) \mod (2^{p-1})\}+1$ 、 $s = 2^{r}$ としてs 乗を計算させる第2の制御信号とを入力するための手段と、m-1の2進表現におけるビットk-1(k は、自然数)が1の場合に選択手段の出力として第2の乗算手段の出力を与え、m-1の2進表現におけるビットk-1が1ではない場合には選択手段の出力として前記第2の入力部から入力されるmビットデータを与えるための手段と、を含む暗号装置。

【請求項32】 ガロア体GF(2m) (m≥1) 上のmビットデータを乗算するため、第1の入力部からのmビットデータおよびべき乗演算手段からの出力が入力される乗算 30 手段と、第2の入力部からのmビットデータおよび前記べき乗演算手段からの出力が入力される乗算手段とを含む誤り訂正復号器であって、

 $p = \{n (q-1) + i\}$  として、第1のべき乗演算手段に $r = 2^{p-1}$ 、 $s = 2^{r}$ としてs 乗を計算させる第1の制御信号と、第2のべき乗演算手段に $r = \{(m-1) \mod (2^{p-1})\} + 1$ 、 $s = 2^{r}$ としてs 乗を計算する第2の制御信号とを入力するための手段と、m-1の2進表現におけるビットk-1(kは、自然数)が1の場合に選択手段の出力として第2の乗算手段40の出力を与え、m-1の2進表現におけるビットk-1が1ではない場合には選択手段の出力として前記第2の入力部から入力されるmビットデータを与えるための手段と、を含む誤り訂正復号器。

【請求項33】 ガロア体GF(2m) (m≥1) 上のmビットデータを乗算するため、第1の入力部からのmビットデータおよびべき乗演算手段からの出力が入力される乗算手段と、第2の入力部からのmビットデータおよび前記べき乗演算手段からの出力が入力される乗算手段とを含む装置であって、

10

 $p = \{n (q-1) + i\}$  として、第1のべき乗演算手段に  $r = 2^{p-1}$ 、  $s = 2^r$  として s 乗を計算させる第1 の制御信号と、第2のべき乗演算手段に  $r = \{(m-1) \mod (2^{p-1})\} + 1$ 、  $s = 2^r$  として s 乗を計算する第2の制御信号とを入力するための手段と、m-1の2進表現におけるビットk-1 (k は、自然数)が1の場合に選択手段の出力として第2の乗算手段の出力を与え、m-1の2進表現におけるビットk-1が1ではない場合には選択手段の出力として前記第2の入力部から入力されるmビットデータを与えるための手段と、を含む装置。

#### 【発明の詳細な説明】

[0001]

【発明の属する技術分野】本発明は、乗算モジュール、 乗法逆元演算回路、乗法逆元演算回路の制御方式、およ び装置に関し、より詳細には、ガロア拡大体GF

(2m) (mは任意の自然数)の乗法逆元演算を、低レイテンシかつ小規模な回路によって実現することを可能とする乗算モジュール、乗法逆元演算回路、乗法逆元演算回路の制御方式、装置、暗号装置および誤り訂正復号器に関する。

[0002]

【従来の技術】まず、本発明も含めて、ハードウェア向けの逆数演算アルゴリズムの評価ポイントは次のとお n:

- (1) 乗算器の個数
- (2) レジスタの個数
- (3) レイテンシ(順序回路の場合はクロック数\*クロック周波数)。これは行う乗算の回数に強く依存する。
- (4)順序回路の場合、最大動作周波数。当然ながら、 同じクロック数で計算ができるなら、最大動作周波数が 高い回路がよい。同じ最大動作周波数なら、少ないクロ ック数で計算ができる回路がよい。

上記の各ポイントについて従来手法や本発明がどうであるかは、後に比較として述べるので、以下では従来手法の概要についてまずまとめる。

【0-0-0 3】方法1: Fermat's little theorem 文献[1]や[4]などに示されているとおり、

[0004]

【数1】

$$x^{-1} = x^{2^{m}-2} = x^{2^{+}}x^{2^{2}} \cdots x^{2^{m-1}}$$

の公式(Fermatの小定理)を用いて乗法逆元を計算できる。この式のとおりに計算を進めると、m-2回の乗算が必要である。

【0005】この公式の計算を順序回路として作る場合には、図1に示した計算過程に基づいて、1個の乗算回路と1個の2乗回路を持ち、 $(x^2)$ のi乗を求めながら(m-2)回のループで計算するアルゴリズムがよく使われている。レイテンシ(サイクル数)は(m-2)

となる。

【0006】組み合わせ回路で実現する場合は、図2のように木構造を作れば、Mを乗算回路のレイテンシとして

[0007]

【数2】

 $M \{[log_2 (m-2) + 1]\}$ 

のレイテンシとなる(一般に、べき条演算のレイテンシ はごく小さいので無視する)。

【0008】方法2: 伊東·辻井のアルゴリズムと、そ <sup>10</sup> の類似手法

文献 [2] に、これまで知られている限りもっとも乗算回数が少なくて済むアルゴリズム(伊東・辻井のアルゴリズム)が示されている。図3にm=16における計算過程の例を示す。また、このアルゴリズムより以前に伊東らが文献[3] で提案した別アルゴリズムに、

[0009]

【数3】

 $2^{k}-1=2 (2^{k/2}-1) (2^{k/2}+1)$ 

等の関係を用いてべき数2m-2を再帰的に2分解し、 実計算はその逆の手順でポトムアップに乗算およびべき 乗演算を進める、という方法もある。いずれのアルゴリ ズムでも、順序回路にしたときサイクル数は、

[0010]

【数4】

$$[\log_2(m-1)] + Hw(m-1) - 1$$

であり、組み合わせ回路にしたときレイテンシは、Mを 乗算回路のレイテンシとして

[0011]

【数5】

$$M\{[\log_2(m-1)] + Hw(m-1) - 1\}$$

となる(べき乗演算のレイテンシは、ごく小さいので無視した)。

【0012】いずれのアルゴリズムでも、方法1と異なり、各乗算を逐次的に進めないと正しい計算結果が得られないという問題点がある。

【0013】方法3:乗算と部分体上での乗法逆元演算の組み合わせによる方法

文献[4], [2]などに、GF(2m)においてm=kq (mが合成数)であるとき、GF(2m)の乗法逆元演 算をGF(2m)の乗算とGF(2k)(ないしGF

(2q))の乗法逆元演算に帰着する方法が示されている。これにより、うまく原始多項式や表現基底を選定すれば、かなり回路規模が縮小され、回路速度も速くなる場合が存在する。

【0014】しかし、この方法は限られた特定の場合にしか使えないという問題がある。たとえばmが素数であればまったく使えないし、ターゲットの体GF(2m)

の原始多項式によっては、回路規模や速度の向上が得ら れないこともある。

【0015】方法4: ユークリッド互除法

文献 [5] 等では、多項式上でユークリッド互除法を用いて乗法逆元を計算する方法が示されている。これは、入力多項式(乗法逆元を求めたい多項式)をA、原始多項式をFとしたとき、ユークリッド互除法でBA+FM=1を満たすB、Mを求めると、ガロア体上ではBがAの乗法逆元となるという性質を利用したものである。この方法は、一般にレイテンシが〇(m)となるという問題点がある。

【0016】代表的な文献:

S. B. Wicker and V. K. Bhargava (eds.), Reed-Solom on Codes and Their Applications, IEEE Press, 1994.
T. Itoh and S. Tsujii, "A Fast Algorithm for Com

puting MultiplicativeInverses inGF (2 m) Using Normal Bases, Information and Computation, vol. 78, no. 3, pp. 171-177, 1988.

[3] T. Itoh, O. Teechai and S. Tsujii, "A fast algori thm for computing multiplicative inverses in GF(2 m) using normal bases, J. Society for Electronic Communications (Japan), 44, 31-36, 1986.

[4] J. Guajardo and C. Paar, "Efficient Algorithms f or Elliptic Curve Cryptosystems," proc. of 17th An nual Intl. Cryptology Conf. (CRYPTO'97), LNCS1294, pp. 342-356, 1997.

[5] H. Brunner, A. Curiger and M. Hofstetter, "On computing multiplicative inverses in GF (2 m)", IEEE T rans. Computers, vol. 42, pp. 1010-1015, 1993.

[0017]

【発明が解決しようとする課題】伊東のアルゴリズムでは、乗算回数は少ないが、回路のレイテンシが大きくなるという問題がある。逆にFermatでは、組み合わせ回路にしたとき、レイテンシは小さいが回路規模が大きくなり、順序回路にしたとき、レイテンシが大きくなる、という問題がある。

【0018】本発明では両方の手法の良い部分をとり、順序回路、組み合わせ回路のいずれの場合についても、小規模、低レイテンシを、一度に達成する。本発明は、通常の回路設計で良くあるようなスピードとエリアのトレードオフを図る話ではなく、それらを両方改善するものである。

【0019】本発明は、任意のmを対象として、基本モジュールを組み合わせた形で、低いレイテンシ(順序回路の場合は少ない処理クロック数、組み合わせ回路の場合は少ディレイ)を乗算回数を増やすことなく達成するものである。既存の方法では、いずれもレイテンシを減らすこと自体が困難か、レイテンシを減らそうとすると回路規模がたいへん大きくなるという問題があった。具体的には、以下の通りである。

12

【0020】 (1) Fermatの定理をそのまま計算する方 法では、組み合わせ回路にすればレイテンシは、

[0021]

【数6】

$$M\{[\log_2(m-2)]+1\}$$

にまで改善できるが、乗算回路がm-2個必要となる。 【0022】(2)伊東・辻井の方法、およびその類似 手法では、全体として行われる乗算の回数は、

[0023]

【数7】

$$M(\lceil \log_2 (m-1) \rceil + Hw(m-1) - 1)$$

となり、Fermatよりも悪い。

【0026】(4)部分体上の除算へ帰着する方法は、 限られたmや原始多項式でしか使えない。なお、この方 法は本発明と対立する手法ではなく、本手法と組み合わ せて併用すれば、さらに回路性能を改善できる。

【0027】(5) ユークリッド互除法による方法は、 O(m)のレイテンシがかかり、その改善は簡単でない 20 という問題点がある。

【0028】本手法は、乗算の全回数が伊東・辻井とま ったく同じ(Fermatより少ない)にも関わらず、 レイテンシが最高で伊東・辻井の約半分(Fermat と同じ)に改善できる。

[0029]

【課題を解決するための手段】乗法逆元計算は乗算やべ き乗演算を利用して行うが、計算の進め方によって得ら れる回路の性能が変わる。本発明は、基本モジュールを 組み合わせた形で、低いレイテンシ(順序回路の場合は 30 少ない処理クロック数、組み合わせ回路の場合は少ディ レイ)を乗算回数を増やすことなく達成するものであ る。

【0030】すなわち、本発明の上記課題は、本発明の 乗算モジュール、乗法逆元演算回路、該乗法逆元演算回 路の制御方式、装置、暗号装置および誤り訂正復号器を 一提供することにより解決される。

【0031】すなわち、本発明の請求項1の発明によれ ば、ガロア体GF (2m) (m≥1) 上のmビットデータを乗算 するための第1の入力部と第2の入力部とを含む乗算モ 40 ジュールであって、前記第1の入力部からの第1のmビ ットデータが入力される第1および第2のべき乗演算手 段と、前記第1のmビットデータおよび前記第1のべき 乗演算手段からの出力が入力される第1の乗算手段と、 前記第2の入力部からの第2のmビットデータおよび前 記第2のべき乗演算手段からの出力が入力される第2の 乗算手段と、前記第2の乗算手段の出力信号および前記 第2のmビットデータが入力される選択手段と、前記第 1のべき乗演算手段と、前記第2のべき乗演算手段と、 前記選択手段とにそれぞれ制御信号を出力する制御手段 50  $[\log_2(m-1)] + Hw(m-1) - 1$ 

個で済むが、レイテンシを改善することが困難である。

レイテンシは、順序回路で、 [0024]

【数8】

$$[\log_2(m-1)] + Hw(m-1) - 1$$

サイクル、組み合わせ回路では、

[0025] 10

【数9】

とを含んで構成され、前記第1のべき乗演算手段には第 1の制御信号が入力され、前記第2のべき乗乗算手段に は第2の制御信号が入力され、前記選択手段には該選択 手段の出力を制御するための第3の制御信号が入力さ れ、前記第1の乗算手段が第1の出力信号を出力し、前 記選択手段が第2の出力信号を出力する、乗算モジュー ルが提供される。

【0032】本発明の請求項2の発明によれば、請求項 1の乗算モジュールと、第1の初期値が設定でき前記乗 算モジュールの第1の出力信号が入力される、第1のレ ジスタ手段と、第2の初期値が設定でき前記乗算モジュ ールの第2の出力信号が入力される、第2のレジスタ手 段とを含み、前記第1のレジスタ手段の出力が前記乗算 モジュールの第1の入力部に接続され、前記第2のレジ スタ手段の出力が前記乗算モジュールの第2の入力部に 接続されており、前記第2のレジスタ手段が、前記第 1、第2、第3の制御信号に応じて前記第1の初期値の 乗法逆元を与える、乗法逆元演算回路が提供される。

【0033】本発明の請求項3の発明によれば、前記第 1の初期値と前記第2の初期値とをレジスタ手段へ入力 し、前記制御手段は、サイクル数が所定の数k(kは、 自然数)となった場合に第1のべき乗演算手段にr=2 k-1、s=2rとしてs乗を計算させる第1の制御信号 と、第2のべき乗演算手段にT= { (m-1) mod (2k-1) } +1、s=2rとしてs乗を計算させる第 2の制御信号とを入力し、前記乗算モジュールの選択手 段には、(m-1) の2進表現でのビットk-1が1の 場合には前記第2のレジスタ手段の入力に前記第2の乗 算手段の出力を入力し、(m-1)の2進表現でのビッ トk-1が1でない場合には前記第2のレジスタ手段の 入力に前記第2のレジスタ手段の出力を与える第3の制 御信号を入力する、乗法逆元演算回路が提供される。

【0034】本発明の請求項4の発明によれば、請求項 1の乗算モジュール2個と、第1の初期値が設定できる 第1のレジスタ手段と、第2の初期値が設定できる第2 のレジスタ手段とを含み、前記乗算モジュールのそれぞ れ第1の出力を他の前記第1の入力部に接続し、前記乗

算モジュールのそれぞれ第2の出力を他の前記第2の入 力部に接続し、前記乗算モジュール群の結合によって得 られた回路に対し、前記乗算モジュールの第1の入力部 に前記第1のレジスタ手段の出力が接続され、前記乗算 モジュールの第2の入力部に前記第2のレジスタ手段の 出力が接続され、前記乗算モジュールの第1の出力部に 前記第1のレジスタ手段の入力が接続され、前記乗算モ ジュールの第2の出力部に前記第2のレジスタ手段の入 力が接続された乗法逆元演算回路。

【0035】本発明の請求項5の発明によれば、3個以 10 上の請求項1の乗算モジュールと、第1の初期値が設定 できる第1のレジスタ手段と、第2の初期値が設定でき る第2のレジスタ手段とを含み、前記乗算モジュールの それぞれ第1の出力を他の前記第1の入力部に接続し、 前記乗算モジュールのそれぞれ第2の出力を他の前記第 2の入力部に接続し、前記乗算モジュール群の結合によ って得られた回路に対し、前記乗算モジュールの第1の 入力部に前記第1のレジスタ手段の出力が接続され、前 記乗算モジュールの第2の入力部に前記第2のレジスタ 手段の出力が接続され、前記乗算モジュールの第1の出 20 力部に前記第1のレジスタ手段の入力が接続され、前記 乗算モジュールの第2の出力部に前記第2のレジスタ手 段の入力が接続された乗法逆元演算回路が提供される。

【0036】本発明の請求項6の発明によれば、前記乗 算モジュールの数n(nは、自然数)は、[log2 (m-1)+ 1]以下とされる、乗法逆元演算回路が提供される。

【0037】本発明の請求項7の発明によれば、制御手 段により、i段目(n≥i≥1)の乗算モジュールに対 して、サイクル数が所定の数q(qは自然数)となった 場合に、 $p = \{n (q-1) + i\}$  として、第1のべき 30 乗演算手段にr = 2 p-1、s = 2 rとしてs乗を計算さ せる第1の制御信号と、第2のべき乗演算手段に r = {  $(m-1) \mod (2p-1)$  } +1,  $s=2r \ge 1$ s 乗を計算させる第2の制御信号とを入力し、前記i段 目の乗算モジュールの選択手段には、(m-1)の2進 表現でのビットp-1が1の場合には前記i段目の乗算 モジュールの第2の出力に前記第2の乗算手段の出力を 与え、(m-1) の2進表現でのビットp-1が1でな い場合には前記i段目のモジュールの第2の出力に、前 記:段目の乗算モジュールへの第2の入力部からのmビ 40 ットデータを与える第3の制御信号を入力する、乗法逆 元演算回路が提供される。

【0038】本発明の請求項8の発明によれば、[log 2(m-1)+1] 個の請求項1の乗算モジュールと、それぞれ の前記乗算モジュールを制御するための第1の制御信号 群と、第2の制御信号群と、第3の制御信号群とを与え る制御手段とを含み、前記乗算モジュールのそれぞれ第 1の出力が次の前記乗算モジュールの第1の入力部に接 続され、前記乗算モジュールのそれぞれ第2の出力が次 の前記乗算モジュールの前記第2の入力部に接続されて50 サイクル数が所定の数k(kは、自然数)となった場合

16

おり、前記制御手段は、所定段目k(kは、自然数)の 乗算モジュールに対して、r = 2 k-1、s = 2 rとして s 乗を計算させる第1の制御信号を第1のべき乗演算手 段に与え、 $r = \{ (m-1) \mod (2^{k-1}) \} + 1$ 、 s=2rとしてs乗を計算させる第2の制御信号を第2 のべき乗演算手段に与え、m-1の2進表現におけるビ ットk-1が1の場合に選択手段の出力として第2の乗 算手段の出力を与え、m-1の2進表現におけるビット k-1が1ではない場合には選択手段の出力として第2 の入力部から入力されるmビットデータを与える、乗法 逆元演算回路が提供される。

【0039】本発明の請求項9の発明によれば、前記乗 算モジュールに接続される対となったレジスタ手段を含 む、乗法逆元演算回路が提供される。

【0040】本発明の請求項10の発明によれば、ガロ ア体GF(2m) (m≥1) 上のmビットデータを乗算するため の第1の入力部と第2の入力部とを含む乗算モジュール の制御方式であって、第1および第2のべき乗演算手段 に前記第1の入力部からの第1のmビットデータを入力 する段階と、第1の乗算手段に前記第1のmビットデー タおよび前記第1のべき乗演算手段からの出力を入力す る段階と、第2の乗算手段に前記第2の入力部からの第 2のmビットデータおよび前記第2のべき乗演算手段か らの出力を入力する段階と、選択手段に前記第2の乗算 手段の出力信号および前記第2のmビットデータを入力 する段階と、制御回路から前記第1の乗算手段と、前記 第2の乗算手段と、前記選択手段とにそれぞれ制御信号 を出力する段階とを含み、前記第1のべき乗演算手段に 第1の制御信号を入力し、前記第2のべき乗演算手段に 第2の制御信号を入力し、前記選択手段に該選択手段の 出力を制御するための第3の制御信号を入力し、前記第 1の乗算手段に第1の出力信号を出力させ、前記選択手 段に第2の出力信号を出力させる、乗算モジュールの制 御方式が提供される。

【0041】本発明の請求項11の発明によれば、請求 項1の乗算モジュールを与える段階と、第1の初期値が 設定でき前記乗算モジュールの第1の出力信号が入力さ れる、第1のレジスタ手段を与える段階と、第2の初期 値が設定でき前記乗算モジュールの第2の出力信号が入 力される、第2のレジスタ手段を与える段階とを含み、 前記第1のレジスタ手段の出力が前記乗算モジュールの 第1の入力部に接続され、前記第2のレジスタ手段の出 力が前記乗算モジュールの第2の入力部に接続されてお り、さらに、前記第2のレジスタ手段が、前記第1、第 2、第3の制御信号に応じて前記第1の初期値の乗法逆 元を与える段階とを含む、乗法逆元演算回路の制御方式 が提供される。

【0042】本発明の請求項12の発明によれば、前記 第1の初期値と前記第2の初期値とを入力する段階と、

に第1のべき乗演算手段にr=2 k-l、s=2 r としてs 乗を計算させる第1の制御信号と、第2のべき乗演算手段に $r=\{(m-1)\ mod\ (2$  k-l) $\}+1$ 、s=2 r としてs 乗を計算させる第2の制御信号とを入力し、前記乗算モジュールの選択手段には、(m-1) の2進表現でのビットk-1が1の場合には前記第2のレジスタ手段の入力に前記第2の乗算手段の出力を入力し、(m-1) の2進表現でのビットk-1が1でない場合には前記第2のレジスタ手段の入力に前記第2のレジスタ手段の入力に前記第2のレジスタ手段の出力を入力するための第3の制御信号を入りする段階を含む、乗法逆元演算回路の制御方式が提供される。

【0043】本発明の請求項13の発明によれば、請求 項1の乗算モジュール2個と、第1の初期値が設定でき る第1のレジスタ手段と、第2の初期値が設定できる第 2のレジスタ手段とを含み、前記乗算モジュールのそれ ぞれ第1の出力を他の前記第1の入力部に接続し、前記 乗算モジュールのそれぞれ第2の出力を他の前記第2の 入力部に接続した乗法逆元演算回路の制御方式であっ て、前記乗算モジュールの第1の出力部に前記第1のレ 20 ジスタ手段の入力が接続され、前記乗算モジュールの第 2の出力部に前記第2のレジスタ手段の入力が接続さ れ、前記乗算モジュール群の結合によって得られた回路 に対し、前記乗算モジュールの第1の入力部に前記第1 のレジスタ手段の出力を接続する段階と、前記乗算モジ ュールの第2の入力部に前記第2のレジスタ手段の出力 を接続する段階と、を含む、乗法逆元演算回路の制御方 式が提供される。

【0044】本発明の請求項14の発明によれば、3個 以上の請求項1の乗算モジュール2個と、第1の初期値 30 が設定できる第1のレジスタ手段と、第2の初期値が設 定できる第2のレジスタ手段とを含み、前記乗算モジュ ールのそれぞれ第1の出力を他の前記第1の入力部に接 続し、前記乗算モジュールのそれぞれ第2の出力を他の 前記第2の入力部に接続した乗法逆元演算回路の制御方 式であって、前記乗算モジュールの第1の出力部に前記 第1のレジスタ手段の入力が接続され、前記乗算モジュ ールの第2の出力部に前記第2のレジスタ手段の入力が 接続され、前記乗算モジュール群の結合によって得られ た回路に対し、前記乗算モジュールの第1の入力部に前 40 記第1のレジスタ手段の出力を接続する段階と、前記乗 算モジュールの第2の入力部に前記第2のレジスタ手段 の出力を接続する段階とを含む、乗法逆元演算回路の制 御方式が提供される。

【0045】本発明の請求項15の発明によれば、前記乗算モジュールの数n(nは、自然数)は、[log2(m-1)+1]以下とされる、乗法逆元演算回路の制御方式が提供される。

【0046】本発明の請求項16の発明によれば、i段目(n≥i≥1)の乗算モジュールに対して、サイクル 50

18

数が所定の数q (qは自然数) となった場合に、 $p=\{n (q-1)+i\}$  として、第1のべき乗演算手段に r=2 p-1、s=2 r として s 乗を計算させる第1 の制 御信号と、第2 のべき乗演算手段に  $r=\{(m-1)$  m od  $(2p-1)\}+1$ 、s=2 r として s 乗を計算させる第2 の制御信号とを入力し、前記乗算モジュールの選択手段には、(m-1) の2 進表現でのビットp-1 が1 の場合には前記 i 段目の乗算モジュールの第2 の出力に前記第2 の乗算手段の出力を与え、(m-1) の2 進表現でのビットp-1 が1 でない場合には前記 i 段目の乗算モジュールの第2 の出力に、前記 i 段目の乗算モジュールの第2 の出力に、前記 i 段目の乗算モジュールの第2 の入力部からのmビットデータを与える第3 の制御信号を入力する、乗法逆元演算回路の制御方式が提供される。

【0047】本発明の請求項17の発明によれば、[log 2 (m-1) +1] 個の請求項1の乗算モジュールを与える段階 と、それぞれの前記乗算モジュールを制御するための第 1の制御信号群と、第2の制御信号群と、第3の制御信 号群とを与える段階とを含み、前記乗算モジュールのそ れぞれ前記第1の出力が次の前記第1の入力部に接続さ れ、前記乗算モジュールのそれぞれ前記第2の出力が次 の前記第2の入力部に接続されており、所定段目k(k) は、自然数)の乗算モジュールに対して、 r = 2 k-1、 s=2rとしてs乗を計算させる第1の制御信号を第1 のべき乗演算手段に与え、 $r = \{(m-1) mod (2)\}$ k-1) } +1、s=2rとしてs乗を計算させる第2の 制御信号を第2のべき乗演算手段に与え、m-1の2進 表現におけるビットk-1が1の場合に選択手段の出力 として第2の乗算手段の出力を与え、m-1の2進表現 におけるビットk-1が1ではない場合には選択手段の 出力として第2の入力部から入力されるmビットデータ を与える段階を含む、乗法逆元演算回路の制御方式が提 供される。

【0048】本発明の請求項18の発明によれば、前記 乗算モジュールからの出力を対となったレジスタ手段に 入力する段階を含む、乗法逆元演算回路の制御方式が提 供される。

【0049】本発明の請求項19の発明によれば、ガロア体GF(2m)(m≥1)上のmビットデータを乗算するための第1の入力部と第2の入力部とを含む乗算モジュールを用いる装置であって、該乗算モジュールは、前記第1の入力部からの第1のmビットデータが入力される第1および第2のべき乗演算手段と、前記第1のmビットデータおよび前記第1のべき乗演算手段からの出力が入力される第1の乗算手段と、前記第2の入力部からの第2のmビットデータおよび前記第2のへき乗演算手段からの出力が入力される第2の乗算手段と、前記第2の無算手段の出力信号および前記第2のmビットデータが入力される選択手段と、前記第1のべき乗演算手段と、前記第2のベき乗演算手段と、前記第1のべき乗演算手段と、前記第2のべき乗演算手段と、前記第2のべき乗演算手段と、前記選択手段とにそれぞれ制

御信号を出力する制御回路とを含んで構成され、前記第 1のべき乗演算手段には第1の制御信号が入力され、前 記第2のべき乗乗算手段には第2の制御信号が入力さ れ、前記選択手段には該選択手段の出力を制御するため の第3の制御信号が入力され、前記第1の乗算手段が第 1の出力信号を出力し、前記選択手段が第2の出力信号 を出力する装置が提供される。

【0050】本発明の請求項20の発明によれば、請求項1の乗算モジュールと、第1の初期値が設定でき前記乗算モジュールの第1の出力信号が入力される、第1の 10 レジスタ手段と、第2の初期値が設定でき前記乗算モジュールの第2の出力信号が入力される、第2のレジスタ手段とを含み、前記第1のレジスタ手段の出力が前記乗算モジュールの第1の入力部に接続され、前記第2のレジスタ手段の出力が前記乗算モジュールの第2の入力部に接続されており、前記第2のレジスタ手段が、前記第1、第2、第3の制御信号に応じて前記第1の初期値の乗法逆元を与える、乗法逆元演算回路を含む装置が提供される。

【0051】本発明の請求項21の発明によれば、前記 20 第1の初期値と前記第2の初期値とを入力し、サイクル数が所定の数k(kは、自然数)となった場合に第1のべき乗演算手段にr=2k-1、s=2 rとしてs 乗を計算させる第1の制御信号と、第2のべき乗演算手段に $r=\{(m-1)$  mod (2k-1)  $\}$  +1、s=2 rとしてs 乗を計算させる第2の制御信号とを入力し、前記乗算モジュールの選択手段には、(m-1) の2進表現でのビットk-1が1の場合には前記第2のレジスタ手段の入力に前記第2の乗算手段の出力を入力し、(m-1) の2進表現でのビットk-1が1でない場合には前 30 記第2のレジスタ手段の入力に前記第2のレジスタ手段の出力を入力するための第3の制御信号を入力する、乗法逆元演算回路を含む装置が提供される。

【0052】本発明の請求項22の発明によれば、請求項1の乗算モジュール2個と、第1の初期値が設定できる第1のレジスタ手段と、第2の初期値が設定できる第2のレジスタ手段とを含み、前記乗算モジュールのそれぞれ第1の出力を他の前記第1の入力部に接続し、前記乗算モジュールのそれぞれ第2の出力を他の前記第2の入力部に接続し、前記乗算モジュール群の結合によって40得られた回路に対し、その第1の入力部に前記第1のレジスタ手段の出力が接続され、前記乗算モジュールの第2の入力部に前記第2のレジスタ手段の出力が接続され、前記乗算モジュールの第1の出力部に前記第1のレジスタ手段の入力が接続され、前記乗算モジュールの第1の出力部に前記第1のレジスタ手段の入力が接続され、前記乗算モジュールの第2の出力部に前記第2のレジスタ手段の入力が接続された乗法逆元演算回路を含む、装置。

【0053】本発明の請求項23の発明によれば、3個以上の請求項1の乗算モジュールと、第1の初期値が設定できる第1のレジスタ手段と、第2の初期値が設定で50

20

きる第2のレジスタ手段とを含み、前記乗算モジュールのそれぞれ第1の出力を他の前記第1の入力部に接続し、前記乗算モジュールのそれぞれ第2の出力を他の前記第2の入力部に接続し、前記乗算モジュール群の結合によって得られた回路に対し、その第1の入力部に前記第1のレジスタ手段の出力が接続され、前記乗算モジュールの第2の入力部に前記第2のレジスタ手段の出力が接続され、前記乗算モジュールの第2の出力部に前記第2のレジスタ手段の入力が接続され、前記乗算モジュールの第2の出力部に前記第2のレジスタ手段の入力が接続され、前記乗算モジュールの第2の出力部に前記第2のレジスタ手段の入力が接続された乗法逆元演算回路を含む、装置が提供される。

【0054】本発明の請求項24の発明によれば、前記 乗算モジュールの数n(nは、自然数)は、[log2(m-1) +1]以下とされる乗法逆元演算回路を含む装置が提供さ れる。

【0055】本発明の請求項25の発明によれば、制御 手段により、i段目(n≥i≥1)の乗算モジュールに 対して、サイクル数が所定の数q(qは自然数)となっ た場合に、 $p = \{n (q-1) + i\}$  として、第1のベ き乗演算手段にr=2 p-1、s=2 r としてs 乗を計算 させる第1の制御信号と、第2のべき乗演算手段にr=  $\{(m-1) \mod (2p-1)\} + 1, s = 2r \ge 1$ s 乗を計算する第2の制御信号とを入力し、前記 i 番目 の乗算モジュールの選択手段には、(m-1)の2進表 現でのビットp-1が1の場合には前記i番目の乗算モ ジュールの第2の出力に前記第2の乗算手段の出力を与 え、(m-1) の2進表現でのビットp-1が1でない 場合には前記i番目の乗算モジュールの第2の出力を、 前記i段目の乗算モジュールの第2の入力部からのmビ ットデータとする第3の制御信号を入力する乗法逆元演 算回路を含む、装置が提供される。

【0056】本発明の請求項26の発明によれば、[log 2(m-1)+1] 個の請求項1の乗算モジュールと、それぞれ の前記乗算モジュールを制御するための第1の制御信号 群と、第2の制御信号群と、第3の制御信号群とを与え る制御手段とを含み、前記乗算モジュールのそれぞれ第 1の出力が他の前記乗算モジュールの第1の入力部に接 続され、前記乗算モジュールのそれぞれ第2の出力が他 の前記乗算モジュールの第2の入力部に接続されてお り、前記制御手段は、所定段目k(kは、自然数)の乗 算モジュールに対して、r=2k-1、s=2rとしてs乗を計算させる第1の制御信号を第1のべき乗演算手段 に与え、 $r = \{ (m-1) \mod (2^{k-1}) \} + 1$ 、s =2rとしてs乗を計算させる第2の制御信号を第2の べき乗演算手段に与え、m-1の2進表現におけるビッ トk-1が1の場合に選択手段の出力として第2の乗算 手段の出力を与え、m-1の2進表現におけるビットk - 1が1ではない場合には選択手段の出力として前記第 2の入力部から入力されるmビットデータを与える乗法 逆元演算回路を含む装置が提供される。

【0057】本発明の請求項27の発明によれば、前記 乗算モジュールに接続される対となったレジスタ手段を 含む、乗法逆元演算回路が提供される。

【0058】本発明の請求項28の発明によれば、ガロ ア体GF(2m) (m≥1) 上のmビットデータを乗算するた め、第1の入力部からmビットデータおよびべき乗演算 手段からの出力を乗算手段に入力する段階と、第2の入 力部からのmビットデータおよび前記べき乗演算手段か らの出力を乗算手段に入力する段階とを含む乗法逆元演 算回路の制御方式であって、p= {n (q-1) + i} として、第1のべき乗演算手段にr = 2p-1、s = 2rとしてs乗を計算させる第1の制御信号と、第2のべき 乗演算手段に r = { (m-1) mod (2 p-1) } +  $1 \cdot s = 2 \cdot r$  として s 乗を計算する第2の制御信号とを 入力する段階と、m-1の2進表現におけるビットk-1 (kは、自然数)が1の場合に選択手段の出力として 第2の乗算手段の出力を与え、m-1の2進表現におけ るビットk-1が1ではない場合には選択手段の出力と して前記第2の入力部から入力されるmビットデータを 与える段階とを含む、乗法逆元演算回路の制御方式が提 20 供される。

【0059】本発明の請求項29の発明によれば、ガロ ア体GF(2m) (m≥1) 上のmビットデータを乗算するた め、第1の入力部からmビットデータおよびべき乗演算 手段からの出力を乗算手段に入力する段階と、第2の入 力部からのmビットデータおよび前記べき乗演算手段か らの出力を乗算手段に入力する段階とを含む乗算方法を 実行させるためのソースコードが記録されたコンピュー 夕可読な記録媒体であって、該記録媒体は、p={n (q-1) + i として、第1のべき乗演算手段にr = 302p-1、s=2rとしてs乗を計算させる第1の制御信 号と、第2のべき乗演算手段に $r = \{(m-1) mod\}$ (2p-1) } +1、s=2rとしてs乗を計算する第2 の制御信号とを入力し、m-1の2進表現におけるビッ トk-1 (kは、自然数)が1の場合に選択手段の出力 として第2の乗算手段の出力を与え、m-1の2准表現 におけるビット-k---1-が 1-ではない場合には選択手段の 出力として前記第2の入力部から入力されるmビットデ ータを与える、記録媒体が提供される。

【0060】本発明の請求項30の発明によれば、ガロ 40 ア体GF( $2^m$ ) ( $m\ge 1$ ) 上のmビットデータを乗算するため、第1の入力部からmビットデータおよびべき乗演算手段からの出力を乗算手段に入力する段階と、第2の入力部からのmビットデータおよび前記べき乗演算手段からの出力を乗算手段に入力する段階とを含む乗算方法を実行させるためのソースコードが記録されたコンピュータ可読な伝送媒体であって、該伝送媒体は、 $p=\{n(q-1)+i\}$ として、第1のべき乗演算手段に $r=2^{p-1}$ 、 $s=2^r$ としてs 乗を計算させる第1の制御信号と、第2のべき乗演算手段に $r=\{(m-1)\mod 50$ 

22

(2p-I)  $\}$  + 1、s = 2r として s 乗を計算する第 2 の制御信号とを入力し、m-1の 2 進表現におけるビット k-1(kは、自然数)が 1の場合に選択手段の出力として第 2 の乗算手段の出力を与え、m-1の 2 進表現におけるビット k-1が 1 ではない場合には選択手段の出力として前記第 2 の入力部から入力されるmビットデータを与える、伝送媒体が提供される。

【0061】本発明の請求項31の発明によれば、ガロ ア体GF(2m) (m≥1) 上のmビットデータを乗算するた め、第1の入力部からのmビットデータおよびべき乗演 算手段からの出力が入力される乗算手段と、第2の入力 部からのmビットデータおよび前記べき乗演算手段から の出力が入力される乗算手段とを含む暗号装置であっ T、 $p = \{n (q-1) + i\}$  として、第1のべき乗演 算手段にr=2p-1、s=2rとしてs乗を計算させる 第1の制御信号と、第2のべき乗演算手段に r = { (m -1) mod (2p-1) } +1、s=2rとしてs乗を 計算させる第2の制御信号とを入力するための手段と、 m-1の2進表現におけるビットk-1 (kは、自然 数)が1の場合に選択手段の出力として第2の乗算手段 の出力を与え、m-1の2進表現におけるビットk-1 が1ではない場合には選択手段の出力として前記第2の 入力部から入力されるmビットデータを与えるための手 段と、を含む暗号装置が提供される。

【0062】本発明の請求項32の発明によれば、ガロ ア体GF(2m) (m≥1) 上のmビットデータを乗算するた め、第1の入力部からのmビットデータおよびべき乗演 算手段からの出力が入力される乗算手段と、第2の入力 部からのmビットデータおよび前記べき乗演算手段から の出力が入力される乗算手段とを含む誤り訂正復号器で あって、 $p = \{n (q-1) + i\}$  として、第1のべき 乗演算手段にr=2p-1、s=2rとしてs乗を計算さ せる第1の制御信号と、第2のべき乗演算手段に r =  $\{(m-1) \mod (2^{p-1})\} + 1, s = 2^r \ge 1$ s 乗を計算する第2の制御信号とを入力するための手段 と、m-1の2進表現におけるビットk-1(kは、自 然数)が1の場合に選択手段の出力として第2の乗算手 段の出力を与え、m-1の2進表現におけるビットk-1が1ではない場合には選択手段の出力として前記第2 の入力部から入力されるmビットデータを与えるための 手段と、を含む誤り訂正復号器が提供される。

【0063】本発明の請求項33の発明によれば、ガロア体GF(2m) (m≥1) 上のmビットデータを乗算するため、第1の入力部からのmビットデータおよびべき乗演算手段からの出力が入力される乗算手段と、第2の入力部からのmビットデータおよび前記べき乗演算手段からの出力が入力される乗算手段とを含む装置であって、 $p=\{n(q-1)+i\}$ として、第1のべき乗演算手段に $r=2^{p-1}$ 、 $s=2^{r}$ としてs 乗を計算させる第1の制御信号と、第2のべき乗演算手段に $r=\{(m-1)$ 

mod(2p-1)  $}$  +1 、s=2 r として s 乗を計算する第2の制御信号とを入力するための手段と、m-1 の2進表現におけるビット k-1 (k は、自然数)が1の場合に選択手段の出力として第2の乗算手段の出力を与え、m-1 の2進表現におけるビット k-1 が1 ではない場合には選択手段の出力として前記第2の入力部から入力されるmビットデータを与えるための手段と、を含む装置が提供される。

[0064]

【発明の実施の形態】以下、本発明の図面に示した実施例をもって説明する。本発明においては、 $Hw(\chi)$ は $\chi$ の2進表現におけるハミング重み、 $[\chi]$ は $\chi$ の整数部(小数部を切り捨てた数)、aは、GF(2m)の原始多項式の根、a0は、GF(2m)における1、Mは乗算回路のレイテンシを表わすものとする。また、レジスタR1およびR2(これらについては後述)へ値を設定してから、次に値を設定するまでの期間を、1サイクルとする。

【0065】図4の乗算モジュール(基本演算モジュール)を用い、順序回路として乗法逆元演算回路を構成する場合は図5または図6のように、組み合わせ回路とし 20 て実現する場合は図7のように回路を構成する。図5ないし図7における基本モジュール等の制御信号は、図8のように与える。図6における制御信号については後述する。また、後述する図12のようにパイプライン化することもできる。

【0066】ここで、基本的な乗算モジュールは、2個の乗算回路と2個の2のべき乗演算回路(2k乗演算を行う)、および出力Bのセレクタで構成される。各べき乗演算回路においてkをいくつにとるかは、モジュールの制御信号として外部より与えられる(図4)。順序回 30路として実現する場合(図5、図6)、図4の乗算モジュールを1個以上用い、その出力をレジスタに接続する。レジスタは初期値が設定できるものを用い、その初期値は外部より与えられる。レジスタ出力は乗算モジュール群の入力へフィードバックされる。乗算モジュールやセレクタの制御は、専用の制御手段、例えばコントロール回路によって行う。そのコントロール回路は、図8の手順に従って各制御信号を生成する。

【0067】図8のアルゴリズムを回路として実装する実施例について説明する。このアルゴリズムから得られ 40るデータフローグラフを、回路実装に用いる。各部品を組み合わせ回路で構成したうえでデータフローグラフ全体を静的に回路展開すれば組み合わせ回路が得られるし、リソースアロケーションとスケジューリングを行って順序回路とすることもできる。順序回路とする場合、乗算やべき乗演算などは必ずしもパラレル入出力である必要はない。

【0068】なお、上記アルゴリズムでは

[0069]

【数10】

24

### $(m-1) \mod (2^{k-1})$

などと剰余演算を行っているように見える個所があるが、これは実際には「m-1の2進表現のうち下位 k-1ビットを抽出する」操作で、きわめて軽いハードで実現できる(組み合わせ回路にする場合は、これらは定数値となるので、事前計算による回路簡単化が可能)。また、2のべき乗演算も簡単な回路で作れるので基本的に乗算とレジスタだけのコストと考えてよい。

【0070】さて、このアルゴリズムを順序回路化したとき、mが動的に変化できるようにするのは簡単である。レジスタはmによらずR1とR2の2つであり、それらの役割がmによって変わることはない。mに依存して変化するのは、ループの回数と、べき乗演算のべき数だけであり、データパスの構造はmにほとんど依存しない。データパスをコントロールするために、mからべき数

[0071]

【数11】

## $\{(m-1) \mod (2^{k-1}) + 1\}$

の動的導出をしなければならないが、それはきわめて容易で、上記のとおりm-1の2進表現からビットを切り出すだけで行える。

【0072】組み合わせ回路として実現する場合(図7)、図4の基本構成モジュールを直列に、

[0073]

【数12】

$$[\log_2(m-1)] + 1$$

個接続する。各モジュールの制御信号は、図8の手順に従って与えられる。その制御信号はmを固定すれば固定値となるので、それにより論理を簡単化できる。なお、mを別のレジスタで持っておき、そこから制御信号をデコードすることにより、任意のmに対処できるような回路を構成してもよい。

【00-74】図5の変形として、乗算モジュールを下記 - - 式

[0075]

【数13】

## $[\log_2(m-1)+1] \ge n \ge 1$

の範囲内のn個を直列に接続して得られる回路に、図5と同様にレジスタと各モジュールの制御回路を付加して回路を構成することもできる(図6)。そのq(qは、自然数)サイクル目において、i段目( $n \ge i \ge 1$ )のモジュールの制御入力には、図8のn(q-1) + i サイクル目の制御信号を与える。たとえば、3段直列に接続した場合、1段目のモジュールには図8の1, 4, 7,

50 …サイクル目の制御信号、2段目のモジュールには2,

5, 8, …サイクル目の制御信号、3段目のモジュール には3,6,9,…サイクル目の制御信号を、サイクル ごとに与える。

【0076】なお、本発明は、図4、図5、図6、図 7、図12から冗長論理を削除して得られる回路をすべ て含む。とくに、一方の入力に常に定数 a 0 が与えられ る乗算回路は削除し、他方の入力をその出力と直結す る。また、出力が使われないべき乗演算回路や、出力が 固定の選択回路も削除する。さらに、図4において、乗 算回路やべき乗演算回路などは必ずしも組み合わせ回路 10 である必要はない。

【0077】m=15の組み合わせ回路を例に、実際に どのような制御信号をモジュールに与えるかを図9に示

【0078】m=15の場合、基本モジュールを4つ直 列につなげた構造となる。モジュール番号を、入力側か ら1, 2, 3, 4とする。このとき、図9に示すように たとえばモジュール2には次のような制御信号を与え

- ○べき乗演算回路1は、4乗演算を行う。
- ○べき乗演算回路2は、2乗演算を行う。
- ○選択回路は、出力Bに入力Bの値を出す。

他のモジュールについても同様である。ここで、モジュ ール1,2の乗算回路2、モジュール4の乗算回路1、 モジュール1のべき乗演算回路2、モジュール4のべき 乗演算回路1は、いずれも不要となるので削除し、それ によって得られた回路を用いる。

【0079】m=15で、図5のような順序回路として 実現する場合、レジスタを初期化した後、4サイクルか けて処理を行う。基本回路モジュールへの制御信号は、\*30

Fermat: {[log2(m-2)]+1} \*乗算器のレイテンシ

伊東 : {[log2(m-1)]+Hw(m-1)-1} \*乗算器のレイテンシ

本手法 : [log2(m-2)]+1 \*乗算器のレイテンシ

で、Fermatと本手法がもっとも良い。伊東のアル ゴリズムと本手法のレイテンシの違いを、図10のグラ フに示す.

- 【-0 0 8 3-】以上をまとめると、本手法は、一回路サイズ・ を伊東と同じでFermatよりはるかに少なく保った まま、伊東の約半分の(=Fermatと同じ)レイテ ンシに改善できる。また、図6下段のとおり、実際に汎 40 用論理合成ツールで実回路を作成した場合にも、上記ア ルゴリズムの差がそのままゲート数や速度に現れる。図 11には、本発明において、m=14、15、16とし た場合のデータフローグラフを示す。

【0084】図12には、本発明の乗法逆元演算回路の さらに別の実施例を示す。図12の乗法逆元演算回路 は、図7に示した実施例の構成に加えて、レジスタR 1, R2が追加されている。これらの対となったレジス タR1, R2は、図12に示した乗法逆元演算回路を構 成する乗算モジュールのいかなる位置においても、また 50 ldベースの高速化手法と組み合わせることで、より一層

26

\*図9におけるモジュール1,2,3,4と同じものをこ の順に与える。制御信号の生成は、図5におけるべき乗 レジスタ入力制御信号生成回路で行う。

【0080】他のmについても、同様に基本モジュール の接続と制御を行う。

(1) 図5のように順序回路として実装した場合:計算 にかかるサイクル数は、任意のmに対し、

Fermat: m-2

伊東  $[\log_2(m-1)] + Hw(m-1) - 1$ 

本発明  $[\log_2(m-1)]+1$ 

で、本発明がもっとも良く、最大で伊東の約半分で計算 できる。

たとえばm=192の場合 Fermat: 190 伊東 : 13 本発明 また、m=511の場合、 Fermat: 509 伊東 15 20 本手法 9

となり、大きくレイテンシが改善される。

【0081】(2)図7のように組み合わせ回路として 実装した場合:乗算回路の個数(回路サイズ)は、任意 のmに対し、

Fermat: m-2

伊東  $[\log_2(m-1)] + Hw(m-1) - 1$ 本発明  $[\log_2(m-1)] + Hw(m-1) - 1$ 

で、伊東と本手法がもっとも良い.

【0082】また、レイテンシ(スピード)は、

いかなる個数でも配置することができる。

[0085]

【発明の効果】上述したように、本発明によれば、基本 モジュールを組み合わせた形で、低いレイテンシ(順序 回路の場合は少ない処理クロック数、組み合わせ回路の 場合は少ディレイ)を乗算回数を増やすことなく達成す ることができる。

【0086】本手法では、動的にmを変えるのが、Fe rmatと同程度に容易である(順序回路として実装し た場合)。レジスタの個数が2個と静的に決まっている ので、任意のmでほぼ同じデータパスが使え、ループ回 数などのコントロールを変更するだけでmを変更でき る。コントロールを動的に変更するのも先述のとおり簡 単な回路でできる。本手法は、逆元演算のみならず、ベ き乗演算の高速化に応用できる。

【0087】本手法は、文献[4]等にあるComposite Fie

の回路規模縮小/レイテンシ短縮を実現できる。これまで本発明の図面に示した実施例をもって説明してきたが、本発明は図面に示した実施例に限定されるものではなく、種々の変更、除外、別の態様が可能である。また、本発明を適用することができる装置は、暗号装置、誤り復号装置ばかりではなく、ガロワ拡大体を用いるいかなる装置に対しても適用できることは言うまでもないことである。

#### 【図面の簡単な説明】

- 【図1】Fermatの定理を用いた従来の乗法逆元演算のア 10 ルゴリズムを示した図。
- 【図2】従来の乗法逆元演算のアルゴリズムを木構造を 用いて示した図。
- 【図3】従来の乗法逆元演算のアルゴリズムを示した図。
- 【図4】本発明の乗法モジュールを示した図。
- 【図5】本発明の乗法逆元演算回路を示した図。
- 【図6】本発明の乗法逆元演算回路の別の実施例を示し た図。
- 【図7】本発明の乗法逆元演算回路のさらに別の実施例 20 を示した図。 \*

28

- \*【図8】本発明に用いる制御信号を与えるため擬似コードを示した図。
  - 【図9】本発明に用いる制御信号を例示した図。
  - 【図10】本アルゴリズムと従来のアルゴリズムとのレイテンシを比較した図。
  - 【図11】本発明のアルゴリズムによるデータフローグラフとスケジューリングを示した図。
  - 【図12】図7に示した乗法逆元演算回路にレジスタを 含ませたさらに別の実施例を示した図。

【符号の説明】

- u 1…第1のべき乗演算手段
- u 2…第2のべき乗演算手段
- u 3…第1の乗算手段
- u 4…第2の乗算手段
- u 5 …選択手段
- S0…第3の制御信号
- S1…第1の制御信号
- S2…第2の制御信号
- R1…第1のレジスタ手段
- R2…第2のレジスタ手段

【図1】



図1 Fermatの定理による計算過程の例(m=16)

【図4】



図4 回路の構成に用いる乗算デバイス

【図9】



|         | べき数制御81 | べき数制御S2 | 出力B制御S0 |
|---------|---------|---------|---------|
| モジュール 1 | 21乗     | (べき衆不要) |         |
| モジュール 2 | 22乗     | 21乗     | 入力B     |
| モジュール3  | 24乗     | 23樂     | 乗算回路2出力 |
| モジュール4  | (べき乗不要) | 27乗     | 桑算回路2出力 |

図9 各モジュールへ与える制御信号の具体例(m=15)

【図2】



図2 Fermatの定理による計算過程の例(m=16)

【図3】



図3 伊東・辻井のアルゴリズムによる計算過程の例(m=16)

[図8]

【図10】







【図5】



図5 順序機械として実現する場合の全体構成法1

【図6】



図6 順序回路として実現する場合の全体構成法2

【図7】



図7 組み合わせ回路として実現する場合の全体構成法

【図12】



### 【図11】







【手続補正書】

【提出日】平成13年5月1日(2001.5.1)

【補正方法】変更

【手続補正1】

【補正内容】

【補正対象書類名】一図面-

【図5】

【補正対象項目名】図5



順序機械として実現する場合の全体構成法1





図7 組み合わせ回路として実現する場合の全体構成法

フロントページの続き

(72) 発明者 森岡 澄夫

神奈川県大和市下鶴間1623番地14 日本ア イ・ビー・エム株式会社 東京基礎研究所 内 (72) 発明者 片山 泰尚

神奈川県大和市下鶴間1623番地14 日本ア イ・ビー・エム株式会社 東京基礎研究所 内

Fターム(参考) 5JT04 AA22 NA18